Risikomanagement in der Öffentlichen Verwaltung Versteckten Gefahren mit Spezialsoftware auf der Spur

Autor / Redakteur: Hadi Stiel / Gerald Viola

Mit jedem Schritt der Optimierung von Verwaltungsprozessen in Öffentlichen Verwaltungen wachsen die operationalen Risiken. Das gilt sowohl für die internen und Behördengrenzen überschreitenden Prozesse als auch für die gegenüber Bürgern und Wirtschaft. Experten sind sich einig: Systeme und Maßnahmen zur Minimierung operationaler Risiken sollten von Anfang an die Verwaltungsprozessoptimierung flankieren.

Anbieter zum Thema

Andernfalls kann es zu intolerablen Einbußen und Schäden kommen. Und: Gerade die Behörden sollten auf integre, das heißt, von allen Seiten unanfechtbare Abläufe, bedacht sein.

Die Digitalisierung des Verwaltungsprozesse bringt es mit sich: „Abläufe werden soweit wie möglich automatisiert und gestrafft. Aktionen, die vorher für die Verantwortlichen und Bearbeiter transparent waren, werden im Hintergrund abgewickelt. Parallel nimmt die Sensibilität der Prozesse zu. Denn wird nur ein Glied der Prozesskette angegriffen, kann dies den kompletten Geschäftsablauf zu Fall bringen“, sagt Holger Frietsch, Practice Manager Business Intelligence bei Logica. Zudem wachse die Gefahr, dass sich interne wie externe Personen die Automatismen für Informationsdiebstähle und Betrügereien zunutze machten. Was für die Unternehmen und ihr Geschäft zutreffe, gelte auch für die Behörden. „Sie geraten über die Optimierung ihrer Prozesse in den Sog vielfältiger operationaler Risiken“, so Frietsch. IT-Risiken, die sich schnell auf die Verwaltungsabläufe niederschlagen könnten, seien davon nur ein Teil. „Wie ihre Kollegen in der Wirtschaft werden die Verantwortlichen mit finanziellen, Sicherheits-, Compliance- sowie Human-Resource-Risiken konfrontiert sein.“

Bildergalerie

Er sieht angesichts des Gefahrenpotenzials kaum Unterschiede zwischen der Privatwirtschaft und der Öffentlichen Verwaltung und für die Behörden deshalb keinen Grund, sich in Sicherheit zu wiegen. Frietsch: „Behörden wachsen, angetrieben durch eGovernment, unweigerlich ins Anforderungsprofil eines professionellen Risikomanagements hinein. Und sie müssen handeln, um nicht unvorbereitet in hohe und schlecht argumentierbare Schäden hineinzulaufen.“

BI als Hebel

Zumal die Behörden aus Spargründen zunehmend mit Wirtschaftsunternehmen zusammenarbeiten. Dadurch verschwimmen die Grenzen zwischen beiden Bereichen. Zudem wächst im Öffentlichen Bereich die Angst vor zu hohen operationalen Risiken und ihren Folgen, nachdem nun einige Landesbanken durch die Finanzkrise mit Milliarden-Fehlbeträgen in der Kreide stehen. Für diese Finanzlöcher müssen nun die Steuerzahler aufkommen.

„Solche Schäden verdeutlichen, wie dringend notwendig auch im Öffentlichen Sektor ein qualifiziertes Management operationaler Risiken ist“, unterstreicht Dr. Robert Heinrich, Partner und verantwortlich für Beratungsservices bei Ernst & Young. Allerdings registriert er, dass hier bisher die Bereitschaft, operationalen Risiken vorzubeugen und entgegen zu wirken, noch zu gering sei. Er sieht jedoch den Druck durch die Wirtschaft und die Bürger auf die Behörden wachsen, stärker auf die Integrität und Unverletzbarkeit ihrer Verwaltungsprozesse und der darin involvierten Daten zu achten. „In dem Maße, wie die Politik Wirtschaft und Bürger einer stärkeren Kontrolle unterzieht, fordern die ihrerseits mit Recht den Behörden mehr Transparenz und Risikokontrolle ab“, konstatiert er. Als adäquates Mittel für ein professionelles Risikomanagement erachtet der Chefberater Business Intelligence. „Wieso sollte es nicht als Administration Intelligence (AI) in gleicher Weise wie BI in der freien Wirtschaft greifen?“, fragt er die Entscheider in den Behörden.

Aufräumen angesagt

Ohne mehr Risikodurchblick und -kontrolle die Digitalisierung der Verwaltungsprozesse voranzutreiben, qualifiziert er als unüberlegt und fahrlässig. „In diesem Fall werden die Behörden gleich den Unternehmen, die ihre Geschäftsprozesse optimieren, ins Kreuzfeuer vielfältiger operationaler Risiken geraten“, prophezeit er.

Doch wie BI für ein qualifiziertes Risikomanagement in den Behörden etablieren?

„Die hohe Kunst des Risikomanagements besteht darin, die Informationen ausfindig zu machen, die Auskunft über die Entwicklung einzelner Risikosituationen geben“, beschreibt Christian Kirschniak, Leiter Informations-Management bei Hewlett-Packard. Das komme einer Herausforderung gleich. Das Problem sei eine meist unzureichende Integration der verschiedenen Datentöpfe innerhalb der einzelnen Ressorts. „Dadurch stoßen die Projektverantwortlichen bei der Suche nach geeigneten Informationen auf unterschiedliche Systeme, Datenformate, inkompatible Schnittstellen und inkonsistente Datenbestände“, erläutert er.

Dieser Status quo müsse überwunden und bereinigt werden, um die für das Management der einzelnen Risiken relevanten Informationen gewichten, vereinheitlichen, strukturieren und richtig zuordnen zu können. Und das, „bevor sie für Analysen, Simulationen und Auswertungen in das Data-Warehouse übernommen werden können“, so der Informationsmanager. Außerdem müssten Kennzahlen definiert und gegebenenfalls zu Scorecards zusammengefasst werden.

„Diese Vorarbeit ist notwendig, um entstehende operationale Risiken beziehungsweise komplexe Risikosituationen frühzeitig erkennen, richtig bewerten und gezielt Vorkehrungen treffen zu können.“ Dazu kämen die abgesicherten Workflows, um die jeweils Verantwortlichen schnell und direkt über die aufkommenden Gefahren in Kenntnis setzen zu können. Kirschniak plädiert für den Einsatz eines BI-Reifegradmodells, beispielsweise das von HP. „So behalten die Entscheider und Projektverantwortlichen die BI-Lösung über ihren kompletten Werdegang im Blick und Griff, ausgehend von der Identifizierung der operationalen Risiken.“

Intern durchsetzen

BI technisch umzusetzen, um den wachsenden Gefahren Herr zu werden, ist eine Seite der Medaille. Die andere Seite ist, BI behördenweit, gegebenenfalls behördenübergreifend, auf den Weg zu bringen.

„Die Entscheider müssen sich erst einmal bewusst darüber werden, welche operationalen Risiken innerhalb der Verwaltung sowie an den Online-Nahtstellen zur Wirtschaft und zu den Bürgern drohen“, sagt Rainer Volck, Experte für BI-Lösungen bei Siemens IT Solutions and Services. Nur durch eine professionelle Analyse aller potenziellen Risiken könnten die Entscheider die heraufziehenden Gefahren und ihre möglichen Folgen bewerten und messen. Er sieht kompetente, neutrale Berater in der Pflicht, die unvoreingenommen an diese Analyse gehen.

„Erst nach dieser objektiven und gründlichen Vorarbeit können die einzelnen Risiken richtig eingeschätzt und – dort wo es lohnt – adäquate BI-Maßnahmen eingeleitet werden“, sagt der Spezialist. Er sensibilisiert die Behördenverantwortlichen, die organisatorische Durchsetzbarkeit des BI-gestützten Risikomanagements keinesfalls auf die leichte Schulter zu nehmen. „Alle, die künftig am BI-System mitwirken, müssen sich hinsichtlich der erkannten und verfolgten Gefahren sowie ihrer Bewertung einig sein.“ Das sei nicht nur wichtig für ein organisationsweit stimmiges, koordiniertes und schnelles Handeln. „Dieser gemeinsame Kodex wird außerdem gebraucht, um für die BI-Lösung die notwendigen Strategien, Standards, Regeln und Vorkehrungen abzuleiten.“

Ohne sie sei kein erfolgreiches Risikomanagement möglich.

Auf die BI-Architektur kommt es an

„Nicht nur die Mitarbeiter, sondern auch die Systeme und Prozesse innerhalb der Administration müssen für einen weitgehenden Risikoausschluss harmonieren“, ergänzt Oliver Jero, Bereichsleiter Business Engineering bei RDS Consulting. Er fordert deshalb die Entscheider in den Behörden auf, sich frühzeitig über den richtigen Zuschnitt der BI-Lösung Gedanken zu machen.

„Er ist entscheidend, einerseits für die Qualität des Risikomanagements, andererseits für den Aufwand, der dafür betrieben werden muss.“ Qualität und Aufwand sollten nach Jero schon deshalb im vertretbaren Verhältnis stehen, weil die BI-Lösung nicht nur errichtet, sondern auch wie ein Organismus permanent am Leben erhalten werden müsse.

„Risiken und Risikosituationen werden sich immer wieder ändern“, gibt er zu bedenken. „Dann dreht sich das Rad erneut: Die Datenbanken nach geeigneten Informationen durchsuchen, sie gewichten, vereinheitlichen, strukturieren und zuordnen sowie Kennzahlen überdenken, ergänzen und anpassen.“ Hinsichtlich der Architektur hätten die Behörden zwei Alternativen: „Die Informationen ins Data-Warehouse überführen oder über die Hauptspeicher der BI-Software vorzuhalten.“ Beide Architekturen hätten ihre Vor- und Nachteile.

Jero: „Die erste ist weniger performant und datenaktuell oder setzt professionelles Datenbank-Tuning und kurze Datenübernahme-Intervalle voraus. Die zweite ist unter geringerem Realisierungsaufwand performanter und von den Daten her aktueller.“

Dafür binde sich die Behörde bei dieser Alternativer stärker an den BI-Hersteller. Außerdem müsse die Behörde in diesem Fall beide Architekturen umsetzen und führen – „für die ereignisgetriebenen Informationen die Hauptspeicher der BI-Software, für die beständigeren Informationen und historische Betrachtungen und Auswertungen ein eher batch-orientiertes Data-Warehouse.“

(ID:2013855)